Working Paper IT-Compliance nach COBIT: Gegenüberstellung zwischen COBIT 4.0 und COBIT 5

Größe: px
Ab Seite anzeigen:

Download "Working Paper IT-Compliance nach COBIT: Gegenüberstellung zwischen COBIT 4.0 und COBIT 5"

Transkript

1 econstor Der Open-Access-Publikationsserver der ZBW Leibniz-Informationszentrum Wirtschaft The Open Access Publication Server of the ZBW Leibniz Information Centre for Economics Klotz, Michael Working Paper IT-Compliance nach COBIT: Gegenüberstellung zwischen COBIT 4.0 und COBIT 5 SIMAT Arbeitspapiere, SIMAT Stralsund Information Management Team, Fachhochschule Stralsund, No Provided in Cooperation with: Fachhochschule Stralsund, Stralsund Information Management Team (SIMAT) Suggested Citation: Klotz, Michael (2014) : IT-Compliance nach COBIT: Gegenüberstellung zwischen COBIT 4.0 und COBIT 5, SIMAT Arbeitspapiere, SIMAT Stralsund Information Management Team, Fachhochschule Stralsund, No , urn:nbn:de:0226-simat This Version is available at: Nutzungsbedingungen: Die ZBW räumt Ihnen als Nutzerin/Nutzer das unentgeltliche, räumlich unbeschränkte und zeitlich auf die Dauer des Schutzrechts beschränkte einfache Recht ein, das ausgewählte Werk im Rahmen der unter nachzulesenden vollständigen Nutzungsbedingungen zu vervielfältigen, mit denen die Nutzerin/der Nutzer sich durch die erste Nutzung einverstanden erklärt. Terms of use: The ZBW grants you, the user, the non-exclusive right to use the selected work free of charge, territorially unrestricted and within the time limit of the term of the property rights according to the terms specified at By the first use of the selected work the user agrees and declares to comply with these terms of use. zbw Leibniz-Informationszentrum Wirtschaft Leibniz Information Centre for Economics

2 SIMAT Arbeitspapiere Herausgeber: Prof. Dr. Michael Klotz SIMAT AP IT-Compliance nach COBIT Gegenüberstellung zwischen COBIT 4.0 und COBIT 5 Prof. Dr. Michael Klotz Fachhochschule Stralsund SIMAT Stralsund Information Management Team Januar 2014 ISSN X

3 Klotz, Michael: IT-Compliance nach COBIT Gegenüberstellung zwischen COBIT 4.0 und COBIT 5. In: SIMAT Arbeitspapiere. Hrsg. von Michael Klotz. Stralsund: FH Stralsund, SIMAT Stralsund Information Management Team, 2014 (SIMAT AP, 6 (2014), 25), ISSN X Download über URN vom Server der Deutschen Nationalbibliothek: Impressum Fachhochschule Stralsund SIMAT Stralsund Information Management Team Zur Schwedenschanze Stralsund Herausgeber Prof. Dr. Michael Klotz Fachbereich Wirtschaft Zur Schwedenschanze Stralsund Autor Prof. Dr. Michael Klotz lehrt und forscht am Fachbereich Wirtschaft der FH Stralsund auf den Gebieten der Unternehmensorganisation und des Informationsmanagements. Er ist u. a. Wissenschaftlicher Leiter des SIMAT, regionaler Ansprechpartner der gfo Gesellschaft für Organisation e.v., Mitglied des wissenschaftlichen Beirats und Academic Advocate der ISACA sowie Mitherausgeber der Zeitschrift IT-Governance. Die SIMAT Arbeitspapiere dienen einer möglichst schnellen Verbreitung von Forschungs- und Projektergebnissen des SIMAT. Die Beiträge liegen jedoch in der alleinigen Verantwortung der Autoren und stellen nicht notwendigerweise die Meinung der FH Stralsund bzw. des SIMAT dar.

4 IT-Compliance nach COBIT Gegenüberstellung von COBIT 4.0 und COBIT 5 Prof. Dr. Michael Klotz 1 Zusammenfassung: IT-Compliance ist mittlerweile integraler Bestandteil des IT-Managements. Die Zielsetzung der nachweislichen Konformität mit Gesetzen und anderen rechtlichen Regularien, aber auch mit Normen, Standards und internen Richtlinien ist allgemein akzeptiert. Aufgabenumfang, Methoden und Techniken der IT-Compliance sind in Theorie und Praxis derzeit jedoch noch im Fluss begriffen. Eine Orientierung kann hier das IT- Governance-Framework COBIT (Control Objectives for Information and Related Technology) bieten. Mit der aktuellen fünften Version ( COBIT 5 ) wurden grundlegende Erweiterungen und Änderungen des Frameworks vorgenommen. Inwieweit sich dies auf das IT-Compliance-Verständnis und das Management von IT-Compliance ausgewirkt hat, wird in diesem Arbeitspapier untersucht. Hierzu werden die vierte und die fünfte Version von COBIT auf ihre compliance-relevanten Aussagen hin untersucht und vergleichend gegenübergestellt. Im Ergebnis weist COBIT 4.0 in seiner Struktur zahlreiche Inkonsistenzen auf und behandelt die Compliance-Thematik eher beiläufig. Zwar ist Compliance in den Unternehmens- bzw. IT-Zielen verankert, aber die Compliance betreffenden IT-Prozesse sind im Vergleich zu COBIT 5 begrenzt. So beinhalten in COBIT 5 insgesamt 26 von 37 Prozessen Compliance-Aufgaben, während dies in COBIT 4.0 lediglich für 4 bzw. 11 von 34 IT-Prozessen gilt. Das Compliance-Verständnis von COBIT 5 umfasst sowohl die IT-Compliance als auch die IT-gestützte Corporate Compliance. Diese Unterscheidung wird bereits im Zielsystem im Rahmen der generischen Unternehmens- und der IT-Ziele abgebildet. Die für Compliance relevanten Regelwerke sind entweder externer Herkunft, wie im Falle von Gesetzen und behördlichen Vorgaben (auch Verträge werden dieser Gruppe zugeordnet), oder stammen aus dem Unternehmen selbst. Hierbei handelt es sich dann um Richtlinien, Verfahrensbeschreibungen, Hausstandards u. Ä. Durch die beträchtliche Erweiterung der Compliance-Thematik kann COBIT 5 insbesondere das Framework-Dokument in Verbindung mit dem prozessorientierten Enabler-Handbuch den mit IT-Compliance betrauten Funktionen und Personen als Orientierung und Hilfsmittel für die praktische Arbeit 1 Prof. Dr. Michael Klotz, FH Stralsund, Fachbereich Wirtschaft, Zur Schwedenschanze 15, Stralsund, SIMAT

5 dienen, beispielsweise bei der Definition von Compliance-Aufgaben, -Prozessen und -Verantwortlichkeiten oder bei der Einrichtung eines IT-Compliance-Managementsystems. Gliederung Vorwort... 5 Abbildungsverzeichnis... 6 Tabellenverzeichnis... 6 Abkürzungsverzeichnis IT-Compliance nach COBIT Überblick Compliance als Informationskriterium IT-Prozesse mit primärer oder sekundärer Complianceunterstützung Der Prozess ME 3 zur Sicherstellung von Compliance Fazit zu COBIT IT-Compliance nach COBIT Überblick über die generellen Änderungen Compliance-Verständnis von COBIT Compliance als Teil der Unternehmensziele Compliance als Zielinhalt der IT-Ziele Compliance-relevante IT-Prozesse in COBIT Compliance-Rollen und -Organisationsstrukturen Compliance im Rahmen der MEA-Domäne Compliance im Rahmen des COBIT 5 Informationsmodells Fazit zu COBIT Quellenangaben Schlüsselwörter: COBIT Informationsmodell IT-Compliance IT-Management IT-Prozesse IT-Ziele Prozessmodell Unternehmensziele JEL-Klassifikation: K12, K23, K32, K34, L15, L21, M14, M21, M42 SIMAT

6 Vorwort Das vorliegende Arbeitspapier verbindet zwei wichtige Themen des IT-Managements: IT-Compliance und COBIT 2. Zum einen stellt IT-Compliance ein mittlerweile sowohl in der Wissenschaft als auch in der Wirtschaft breit akzeptiertes Aufgabenfeld des IT-Managements dar. Dies lässt sich allein daran erkennen, dass im Akronym GRC (bzw. der auf die Informationstechnologie bezogenen Variante IT-GRC ) das C für Compliance steht. Gleichwohl sind in Theorie und Praxis Aufgabenumfang und -abgrenzung sowie Methoden und Techniken der IT-Compliance noch im Fluss begriffen. Insofern ist es zum anderen von Interesse, das derzeit führende IT- Governance-Framework COBIT (Control Objectives for Information and Related Technology) sowohl in seiner vierten als auch in seiner aktuellen fünften Version näher zu betrachten und dahingehend zu analysieren, wie das Framework die Compliance-Thematik in der IT adressiert. Hierbei wird auch immer auf die Diskussion in Wissenschaft und Fachwelt zurückgegriffen. Dennoch soll die Arbeit in erster Linie dem IT-Praktiker, der COBIT in seiner Arbeit verwendet, eine Hilfestellung und insbesondere einen schnellen Überblick über die compliance-relevanten Domänen und Prozesse von COBIT bieten. Prof. Dr. Michael Klotz 2 COBIT, ISACA und ITGI sind eingetragene Warenzeichen der Information Systems Audit and Control Association (ISACA) und des IT Governance Institute (ITGI). SIMAT

7 Abbildungsverzeichnis Abb. 1 Kontrollziele des Prozesses ME Abb. 2 Unterscheidung zwischen Governance und Management nach COBIT 5... Abb. 3 COBIT 5-Produktfamilie Abb. 4 Von den MEA-Prozessen unterstützte IT-bezogene Complianceziele Tabellenverzeichnis Tab. 1 Compliance-Inhalte der COBIT 4.0 IT-Prozesse Tab. 2 Indikatoren des Prozesses ME Tab. 3 Maturitätsmodell des Prozesses ME Tab. 4 COBIT 5 Domänen Tab. 5 Unterstützung der Unternehmensziele durch IT-Ziele Tab. 6 IT-Ziel 2 unterstützende Prozesse Tab. 7 IT-Ziel 15 unterstützende Prozesse Tab. 8 Tab. 9 Beteiligung der Compliance-Funktion an den Managementpraktiken Beteiligung des Datenschutzbeauftragten an den Managementpraktiken Tab. 10 Managementpraktiken der MEA-Prozesse Tab. 11 Zuordnung von Informationsobjekten zu IT-Zielen Tab. 12 Vergleich von COBIT 4.0 und COBIT 5 in Bezug auf Compliance SIMAT

8 Abkürzungsverzeichnis AI APO AO BAI BSC CIO CMMI COBIT DS DSB DSS EDM GRC HGB IEC IKS ISACA ISO IT ITGI ITIL KGI KPI ME MEA OLA P PAM PBRM PMBOK PO RACI S SIMAT SLA TOGAF USA Acquire and Implement Align, Plan and Organise Abgabenordnung Build, Acquire and Implement Balanced Scorecard Chief Information Officer Capability Maturity Model Integration Control Objectives for Information and Related Technology Deliver and Support Datenschutzbeauftragter Deliver, Service and Support Evaluate, Direct and Monitor Governance Risk Compliance Handelsgesetzbuch International Electrotechnical Commission Internes Kontrollsystem Information Systems Audit and Control Association International Organization for Standardization Informationstechnik / Informationstechnologie IT Governance Institute Information Technology Infrastructure Library Key Goal Indicator Key Performance Indicator Monitor and Evaluate Monitor, Evaluate and Assess Operating-Level-Agreement primär Process Assessment Model Plan, Build, Run, Monitor Project Management Body of Knowledge Plan and Organize Responsible, Accountable, Consulted, Informed sekundär Stralsund Information Management Team Service-Level-Agreement The Open Group Architecture Framework United States of America SIMAT

9 1 IT-Compliance nach COBIT Überblick Das die Unternehmens-IT adressierende Framework COBIT (Control Objectives for Information and Related Technology) wurde seit 1993 von dem in den USA ansässigen, international agierenden Prüfungsverband ISACA (Information Systems Audit and Control Association) entwickelt und erstmals im April 1996 veröffentlicht. 3,4 Die erste Version von COBIT legte dem Namen entsprechend den Schwerpunkt auf Anforderungen an die IT als so genannte Kontrollziele ( Control Objectives ) und adressierte damit in erster Linie die Arbeit von Wirtschaftsprüfungsunternehmen. Durch die Verfolgung dieser Kontrollziele, ihre regelmäßige, systematische Überprüfung und die Umsetzung entsprechender Maßnahmen sollte in Unternehmen ein effizienter und effektiver Einsatz von IT-Ressourcen (d. h. von Anwendungen, Informationen, IT-Infrastruktur und Personal) für die Erreichung von Wettbewerbsvorteilen gewährleistet werden. An diesem Anspruch hat sich bis heute nichts geändert. Im Verlauf der Jahre entwickelte sich COBIT zunehmend zu einem umfassenden Instrument für das IT-Management, mit dem die verschiedenen IT-Domänen und -Prozesse nicht nur nachgelagert geprüft, sondern proaktiv gestaltet werden können. Das zentrale COBIT-Framework wurde über die Versionen hinweg durch ergänzende Frameworks erweitert, zum einen durch das auf den Wertbeitrag von IT-Investitionen fokussierte Framework Val IT, zum anderen durch das IT-Risiko-Framework Risk IT. 5 Mittlerweile berücksichtigt COBIT auch wichtige Normen und Standards, z. B. Entstehung von COBIT Entwicklung von COBIT die sog. Information Technology Infrastructure Library 6, The Open Group Architecture Framework (TOGAF), Project Management Body of Knowledge (PMBOK) und verschiedene ISO/IEC-Normen, wie beispielsweise die ISO/IEC (für das IT-Servicemanagement), 3 Dieser Abschnitt basiert auf Klotz 2011, S Nach Gaulke 2010, S. 8. Dort findet sich auf den S eine detaillierte Darstellung der Entwicklung von COBIT. 5 Siehe ITGI 2006 und ISACA Die zugehörige Abkürzung ITIL ist ein eingetragenes Warenzeichen des Cabinet Office. SIMAT

10 die ISO/IEC (für das Risikomanagement im Rahmen eines Informationssicherheitsmanagementsystems) oder die ISO/IEC (für die IT-Governance). 7 Aufgrund seiner übergeordneten Management- und Steuerungssicht kann das COBIT-Framework als Integrator dienen, wenn ein Unternehmen die gleichzeitige Nutzung dieser Normen und Standards aufeinander abstimmen will. 8 Aus dieser umfassenden Sichtweise folgte dann auch die Positionierung von COBIT als Framework für die IT-Governance. 9 COBIT 4.0 wurde Ende 2005 veröffentlicht, im Jahr darauf auch in deutscher Übersetzung. 10 Neben dem zentralen Dokument COBIT 4.0, welches das IT-Prozessmodell beinhaltet, gibt es zahlreiche weitere COBIT- Produkte, z. B. die grundlegende Darstellung IT Governance für Geschäftsführer und Vorstände, den prüfungsorientierten IT Assurance Guide oder den die Umsetzung unterstützenden IT Governance Implementation Guide. 11 Im Folgenden konzentrieren sich die Ausführungen auf das COBIT 4.0-Dokument, in dem das IT-Governance-Modell und die IT- Prozesse beschrieben werden und das auch im Mittelpunkt der fachlichen Auseinandersetzung in Theorie und Praxis steht. Auf die sonstigen COBIT- Produkte wird lediglich am Rande Bezug genommen. Kern von COBIT 4.0 ist das Domänen- und Prozessmodell, das aus insgesamt 34 IT-Prozessen in folgende vier Domänen besteht: Planung und Organisation (engl. Plan and Organize PO); Beschaffung und Implementierung (engl. Acquire and Implement AI); Betrieb und Unterstützung (engl. Deliver and Support DS); Überwachung und Bewertung (engl. Monitor and Evaluate ME). COBIT als Integrator COBIT 4.0 COBIT-Domänen Eine aktuelle Auflistung der Normen und Standards, die von COBIT integriert werden, findet sich in ISACA 2012a, S. 47. Vgl. ITGI 2005, S Gleichwohl richtet sich in Praxis und Wissenschaft der Fokus nach wie vor auf die Kontrollaspekte von COBIT, vgl. bspw. Martens u. a. 2010, Sowa Böhm u. a. sehen in der Herkunft aus dem Prüfungsbereich die Chance, dass COBIT in der Lage dazu sein kann, konfligierende Anforderungen aus Geschäfts- und Compliance-Orientierung in einem zeitgemäßen IT-Management zu vereinen, Böhm u. a. 2009, S. 12f. Mitte 2007 folgte die überarbeitete Version 4.1, die jedoch nicht mehr ins Deutsche übersetzt wurde. Zur besseren Nachvollziehbarkeit beziehen sich die weiteren Ausführungen auf die deutsche Version COBIT 4.0. Siehe ITGI 2003, ITGI 2007a und ITGI 2007b. SIMAT

11 Für jeden Prozess beinhaltet eine Prozessbeschreibung die von diesem IT- Prozess unterstützten Unternehmensziele und ein übergeordnetes Kontrollziel, das in 3 bis 15 detaillierte Kontrollziele in Form von normativen Aussagen untergliedert wird. Insgesamt enthalten die Prozessbeschreibungen 210 Kontrollziele, die unabhängig sowohl vom informations- und kommunikationstechnischen als auch vom geschäftlichen Umfeld (Branche, Unternehmensgröße, Organisationsstruktur etc.) sind. 12 COBIT 4.0 berücksichtigt die Compliance-Thematik in verschiedener Hinsicht: Kontrollziele Compliance in COBIT 4.0 Um die Unterstützung der Unternehmensziele durch die IT zu verdeutlichen, verwendet COBIT 4.0 ein Modell generischer Unternehmensziele, in dem zwei von zwanzig Unternehmenszielen strukturiert nach der Systematik einer Balanced Scorecard (BSC) die Compliance des Unternehmens adressieren. Zum einen ist dies das Ziel Compliance mit Gesetzen und Regulativen (Ziel Nr. 14), zum anderen das Ziel Compliance mit internen Regelungen (Ziel Nr. 16). Beide Ziele sind Bestandteil der internen BSC-Perspektive. 13 Weiterhin definiert COBIT 4.0 insgesamt 28 generische IT-Zielsetzungen, die durch die Ausführung der IT-Prozesse erreicht werden. Eine dieser Zielsetzungen ist das IT-Ziel Stelle die IT-Compliance mit Gesetzen und Vorschriften sicher (Ziel Nr. 27). Dieses unterstützt gemeinsam mit sechs weiteren IT-Zielsetzungen die Erreichung des o. g. Unternehmensziels in Bezug auf Compliance mit Gesetzen und Regulativen. 14 Das compliance-bezogene IT-Ziel wiederum wird von vier IT- Prozessen unterstützt, drei ME-Prozessen und einem DS-Prozess Vgl. Gaulke 2010, S. 11. Vgl. ITGI 2005, S Das Unternehmensziel in Bezug auf Compliance mit internen Regelungen wird jedoch nach der Kreuztabelle im Anhang I zu COBIT 4.0 nicht vom IT-Complianceziel unterstützt (siehe ebd., S. 190), obwohl häufig interne Regelungen dazu dienen, externe Vorgaben umzusetzen. Dies ist ein erstes Beispiel für die häufig anzutreffende systematische Inkonsistenz von COBIT 4.0. Nach ebd., S Bei dem IT-Prozess der Domäne Deliver and Support handelt es sich um den Prozess DS 11 (Manage Daten). Obwohl er dem IT-Complianceziel zugewiesen ist, ist in der zugehörigen Prozessbeschreibung das Informationskriterium Compliance nicht entsprechend markiert, siehe ebd., S Andererseits ist der Prozess ME 1 (Monitore und evaluiere IT-Performance) nicht dem IT-Complianceziel zugeordnet, obwohl dieser nach dem Informationskriterium Compliance den Prozess immerhin sekundär unterstützt (siehe ebd., S. 171) noch eine Inkonsistenz von COBIT 4.0. SIMAT

12 Eine weitere Verankerung der Compliance-Thematik findet sich bei COBIT im Rahmen des IT-Risikomanagements. Mit der Positionierung von COBIT als Framework für die IT-Governance rückt auch das Risikomanagement als wichtiges Handlungsfeld des IT-Managements in den Vordergrund. Das Verständnis für Compliance-Erfordernisse wird hierbei als notwendig erachtet, um zu einem entsprechenden Bewusstsein für Compliance-Risiken und eine diesbezügliche Risikobereitschaft zu gelangen. 16 Eine diesbezügliche Unterstützungsfunktion wird einem IT Strategy Committee zugeordnet, das der Unternehmensleitung bei der Steuerung und Überwachung der IT zur Seite steht. 17 Hinsichtlich der Verantwortlichkeit für Compliance richtet sich COBIT 4.0 explizit an interne und externe Stakeholder, die Compliance- Aufgaben wahrnehmen. Das Rollenmodell von COBIT sieht eine Rolle Compliance, Audit, Risk und Security vor, in der diejenigen Stellen, Abteilungen oder Dienstleister zusammenfasst sind, denen eine Überwachungsfunktion, aber keine operative Verantwortung in der IT obliegt. 18 Aber auch die weiteren Rollen sind in unterschiedlichem Ausmaß an der Gewährleistung von Compliance beteiligt. Compliance stellt eines von sieben Informationskriterien ( Information Criteria ) dar. Diese Informationskriterien stellen unternehmensspezifische Anforderungen dar, mit denen sich der Informationsbedarf definieren lässt. Aus der Zuordnung des Compliance-Informationskriteriums lassen sich insgesamt elf IT-Prozesse identifizieren, die für die Erreichung von Compliance relevant sind. Am umfangreichsten adressiert COBIT 4.0 das Compliance-Thema in einem seiner der 34 IT-Prozesse. So dient der Prozess ME 3 ("Stelle Compliance mit Vorgaben sicher") der COBIT-Domäne "Überwachung und Bewertung" speziell der Sicherstellung von (gesetzlicher und regulativer) Compliance Nach ITGI 2005, S. 7. Nach ITGI 2003, S. 71f. Im IT Governance Implementation Guide stellen Risk und Compliance eine eigene Stakeholdergruppe dar, deren Interessen im gesamten Einführungsprozess explizit zu berücksichtigen sind, siehe ITGI 2007a, S. 11. SIMAT

13 1.2 Compliance als Informationskriterium Informationen müssen zur Erreichung der Unternehmensziele bestimmten unternehmensspezifischen Anforderungen genügen, die in COBIT 4.0 als "Informationskriterien" (engl. information criteria) bezeichnet werden. 19 Eines der sieben aufgeführten Informationskriterien ist das Kriterium Compliance. 20 Aus der Beschreibung dieses Kriteriums ist das Complianceverständnis von COBIT 4.0 abzuleiten: Nach COBIT 4.0 umfasst Compliance die Einhaltung von Gesetzen, Regulativen und vertraglichen Vereinbarungen, die ein Geschäftsprozess zu berücksichtigen hat. Hierbei sind externe Vorschriften ebenso wie interne Richtlinien zu berücksichtigen. 21 Mit der Betonung der Geschäftsprozesse versteht COBIT IT-Compliance primär als Beitrag der IT zur Sicherstellung der Compliance von Geschäftsprozessen mithin als IT-gestützte Compliance. 22 Die Erfüllung der Informationskriterien durch die IT-Prozesse wird in jeder Prozessbeschreibung als primär (P) oder sekundär (S) markiert bzw. bei mangelnder Relevanz entfällt eine Markierung. Hierdurch sind alle IT- Prozesse zu identifizieren, die einen mehr oder minder wichtigen Beitrag zur Erreichung von Compliance leisten. Im Ergebnis zeigt sich, dass Compliance von insgesamt elf IT-Prozessen über alle vier COBIT-Domänen hinweg adressiert wird. 23 Compliance- Begriff Primäre/sekundäre Unterstützung 1.3 IT-Prozesse mit primärer oder sekundärer Complianceunterstützung Dadurch, dass jeder IT-Prozess dahingehend charakterisiert wird, welche Informationskriterien als unternehmensspezifische Anforderungen er unterstützt, kann jeder compliance-relevante IT-Prozess identifiziert werden 24. In Nach ITGI 2005, S. 14. Im Kern bestehen die Informationskriterien aus den informationsbezogenen Sicherheitsanforderungen der Vertraulichkeit, der Integrität und der Verfügbarkeit. Hinzu kommen die Kriterien Wirksamkeit, Wirtschaftlichkeit und Verlässlichkeit, vgl. ebd. Nach ebd.; vgl. Johannsen/Goeken 2010, S. 61. Zur Diskussion des Unterschieds zwischen IT-Compliance und IT-gestützter Compliance siehe Klotz/Dorn 2008, S. 9f. Die Tatsache, dass die Erreichung des compliance-bezogenen IT-Ziels von nur vier IT- Prozessen unterstützt wird, durch das Informationskriterium Compliance aber elf compliance-relevante IT-Prozesse identifiziert werden können, stellt eine weitere Inkonsistenz von COBIT 4.0 dar. Es finden sich in verschiedenen, nicht in Tabelle 1 aufgeführten IT-Prozessen jedoch weitere Compliance-Bezüge, ohne dass dies explizit durch das Informationskriterium SIMAT

14 der Prozessbeschreibung muss dann allerdings der jeweilige Compliance- Bezug durch Textstudium ermittelt werden. Tabelle 1 enthält das Ergebnis dieser Analyse für alle elf Prozesse, die für das Informationskriterium Compliance relevant sind. Notation IT-Prozess Compliance-Bezug PO 6 Kommuniziere Ziele und Richtung des Managements Im Rahmen dieses Prozesses sind Richtlinien zu erstellen, die die Nutzung der IT leiten. Hierzu ist eine IT-Kontrollumgebung einzurichten. Bestandteil dieser Richtlinien ist auch die Verpflichtung zu Compliance, die durch eine geeignete Überwachung, d. h. durch Kontrollen und Prüfungen im gesamten Unternehmen sicherzustellen ist. Tabelle 1 Compliance-Inhalte der COBIT 4.0 IT- Prozesse 25 PO 9 AI 4 AI 5 DS 1 Beurteile und manage IT-Risiken Ermögliche Betrieb und Verwendung Beschaffe IT- Ressourcen Definiere und manage Service Levels Die mangelnde Erfüllung externer Anforderungen (vor allem aus rechtlichen Vorgaben) wird als potenzielles IT-Risiko eingestuft, das es im Rahmen eines IT-Risikomanagements zu steuern gilt. Die Verantwortung für die fachliche Nutzung von Anwendungen liegt nach COBIT in der Fachabteilung bzw. beim Geschäftsprozesseigner. Diese Verantwortung richtet sich auch auf Compliance- Vorgaben, die der Geschäftsprozess einzuhalten hat und deren Einhaltung durch entsprechende Kontrollen sicherzustellen ist. In diesem Prozess sind alle diejenigen Aktivitäten compliance-relevant, die sich auf vertragliche Anforderungen richten. Dies sind vor allem die Entwicklung von IT-Beschaffungsrichtlinien, die Lieferantenauswahl, die Vertragsgestaltung und die Durchführung der Beschaffung. Hierbei stellt ein Vertragsmanagement die Compliance mit vertraglichen Vorgaben für die gesamte Unternehmens-IT nachweislich sicher. Fragen der Compliance werden im Service-Level- Management dann relevant, wenn die zu vereinbarenden Service-Level-Agreements (SLAs) oder Operating-Level-Agreements (OLAs) Compliance- Anforderungen zu berücksichtigen haben. Die entsprechenden Festlegungen sind auch Gegenstand 25 Compliance markiert wird. So soll beispielsweise auch der IT-Prozess PO 3 (Bestimme die technologische Richtung) technische und regulatorische Compliance sicherstellen, vgl. ITGI 2005, S. 41ff. Gleiches gilt für die Beschreibung der Prozesse im IT Assurance Guide, wo ebenfalls weitere Compliance-Bezüge aus Prüfungssicht hergestellt werden, für den genannten Prozess PO 3, siehe ITGI 2007b, S. 62ff. Entnommen aus Klotz 2011, S. 602f. SIMAT

15 Notation IT-Prozess Compliance-Bezug der Überwachung, des Berichtswesens und etwaiger Reviews. DS 2 DS 5 ME 1 ME 2 ME 3 ME 4 Manage Leistungen von Dritten Stelle Security von Systemen sicher Monitore und evaluiere IT- Performance Monitore und evaluiere Internal Controls Stelle Compliance mit Vorgaben sicher Sorge für IT- Governance Das Management von Drittleistungen umfasst explizit auch auf die Erfüllung von Compliance-Anforderungen durch den Lieferanten. Die Anzahl der diesbezüglichen Fälle von Non-Compliance ist ein Indikator der Leistungsmessung. Im Rahmen der IT-Sicherheit ist die Compliance von IT-Sicherheitsrichtlinien und die Umsetzung zahlreicher compliance-relevanter Einzelfragen, wie Berechtigungskonzepte, Funktionstrennungen, Dokumentationsverpflichtungen oder Sicherheitszertifizierungen, relevant. Die Leistungsüberwachung hat sich auch auf das Erreichen von Compliance zu beziehen. Hierfür sind geeignete Leistungsindikatoren zu bestimmen und in das Berichtssystem zu integieren. Ziel dieses Prozesses ist es, eine Aussage darüber zu erhalten, ob bzw. inwieweit Gesetze und Vorschriften eingehalten werden. Hierzu soll sich das interne Kontrollsystem der IT an Richtlinien und Normen orientieren. Rechtliche, regulatorische und vertragliche Anforderungen müssen durch das IT- Kontrollsystem abgedeckt sein, wobei die Kontrollen auch externe Dienstleister zu berücksichtigen haben. Dies ist der zentrale IT-Prozess, durch den insbesondere die externe Compliance mit gesetzlichen und regulativen Vorgaben sichergestellt wird. Auch dieser Governance-Prozess zielt auf die Einhaltung von Gesetzen und Vorschriften. Konkret wird gefordert, dass durch eine interne oder externe Prüfung "die Compliance der IT mit ihren Richtlinien, Standards und Verfahren sowie mit allgemein anerkannten Praktiken" 26 bestätigt wird. In Bezug auf den Grad der Unterstützung der Compliance-Anforderung durch den betreffenden IT-Prozess nimmt COBIT eine 2-stufige Differenzierung (primär, sekundär) vor. Den in der Tabelle 1 enthaltenen Prozessen wird bis auf Prozess ME 3 durchgängig eine sekundäre Bedeutung zugemessen. 26 ITGI 2005, S SIMAT

16 1.4 Der Prozess ME 3 zur Sicherstellung von Compliance Der Prozess ME 3 "Stelle Compliance mit Vorgaben sicher" (engl. Ensure Regulatory Compliance) ist der dritte Prozess der Domäne "Überwachung und Bewertung". 27 Die Prozessbezeichnung stellt gleichzeitig das übergeordnete Kontrollziel dar. Dieses wird dann erreicht, wenn eine "positive Bestätigung der Einhaltung von Gesetzen und Vorschriften vorliegt". 28 Allerdings ist eine derartige Bestätigung allein für eine Messung der Zielerreichung nicht als ausreichend anzusehen. Vielmehr sollen für die Messung der Zielerreichung folgende Indikatoren Verwendung finden: Compliance- Prozess ME 3 Kosten von Non-Compliance, z. B. Straf- und Vergleichszahlungen; durchschnittliche Zeitdauer zwischen dem Auftreten externer Compliance-Probleme und deren Lösung; Häufigkeit von Compliance-Reviews. Die Prozessbeschreibung enthält fünf Kontrollziele, die als normative Aussagen den Inhalt und den Umfang des Compliance-Managements in der IT nach COBIT 4.0 wiedergeben, vgl. Abbildung 1. Abbildung 1 Kontrollziele des Prozesses ME 3 29 COBIT 4.0 Das Kontrollziel ME 3.1 beinhaltet eine Aussage zum Umfang der zu berücksichtigenden Compliance-Anforderungen. Diese ergeben sich aus rechtlichen und sonstigen regulatorischen Vorgaben (z. B. zu Datenschutz, Urheberrecht oder Regelungen zur Gesundheit und Arbeitnehmersicherheit) Detaillierte Kontrollziele Im Folgenden nach ITGI 2005, S. 179ff. Ebd., S Nach Klotz 2011, S SIMAT

17 sowie aus Verträgen und Richtlinien. Um diesen Vorgaben in den verschiedenen IT-Aktivitäten zeitnah nachkommen und so Compliance sicherstellen zu können, ist ein entsprechender interner Prozess der Identifikation und der Umsetzung durch IT-Richtlinien, -Standards und -Verfahren erforderlich (ME 3.2). Die Einhaltung der Compliance-Anforderungen ist auf wirtschaftliche Weise kontinuierlich zu prüfen und zu beurteilen (ME 3.3). Ergebnisse sind adäquat zu berichten und gehen in die Leistungsdarstellung der IT- Funktion ein. Bei Feststellung von Compliance-Lücken sind Maßnahmen einzuleiten, vor allem in Bezug auf die Anpassung von IT-Richtlinien, -Standards und -Verfahren. Die Verantwortung hierfür wird den Prozesseignern (engl. process owner) zugeordnet (ME 3.4). Abschließend sind die Ergebnisse mit Ergebnissen anderer Unternehmensfunktionen abzustimmen und in die generelle Berichterstattung der Corporate Compliance zu integrieren (ME 3.5). 30 Die Beschreibung der einzelnen Control Objectives wird zu fünf Schlüsselaktivitäten verdichtet, die sowohl Teil des RACI-Modells als auch Grundlage der Erfolgsmessung sind: Schlüsselaktivitäten Definiere einen Prozess zur Identifikation von Anforderungen aus Gesetzen, Verträge, Richtlinien und sonstigen Regulativen und führe diesen aus; Evaluiere Compliance der IT-Aktivitäten mit IT-Richtlinien, Standards und Verfahren; Berichte die eindeutige Zusicherung, dass die IT-Aktivitäten mit IT- Richtlinien, Standards und Verfahren übereinstimmen; Liefere Input zum Angleichen der mit IT-Richtlinien, Standards und Verfahren in Reaktion auf Compliance-Erfordernisse; Integriere die IT-Berichterstattung über regulative Anforderungen mit ähnlichem Output von anderen Bereichen. 31 Im dem dem Prozess zugehörigen RACI-Modell (R = responsible, A = accountable, C = consulted, I = informed) wird die Rechenschaftspflicht (A) in Bezug auf die Compliance der IT-Funktion dem Chief Information Officer (CIO) zugeordnet. Dagegen liegt die Durchführungsverantwortung (R) sowohl beim CIO als auch bei den Mitgliedern der Führungsebene Raci-Modell Vgl. ITGI 2005, S Ebd. SIMAT

18 unterhalb des CIO, d. h. bei den Leitungen für IT-Betrieb, -Entwicklung und -Administration, ebenso beim IT-Chefarchitekt sowie bei den complianceaffinen Stellen mit Kontroll- und Berichtsverantwortung (Corporate Compliance, Audit, Risiko und Sicherheit). Jeder IT-Prozess hat zur Erfüllung der unternehmensspezifischen Anforderungen beizutragen, gemessen durch so genannte "Key Goal Indicators" (KGI). Diese Messung beinhaltet auch die Bestätigung der Compliance der unterstützten Geschäftsprozesse. 32 Generell wird zwischen Leistungs- und Zielindikatoren unterschieden. Der Leistungsindikator (Key Performance Indicator KPI) misst das Erreichen der Aktivitätsziele, die beiden Zielindikatoren (Key Goal Indicator KGI und IT Key Goal Indicator) messen das Erreichen der Prozessziele bzw. der IT-Ziele. Tabelle 2 beinhaltet die verschiedenen Indikatoren. Indikatoren für Compliance Key Performance Indicators Key Goal Indicators IT Key Goal Indicators Tabelle 2 Indikatoren des Prozesses ME 3 33 Durchschnittliche Zeitspanne zwischen Identifizierung externer Compliance-Themen und deren Lösung Durchschnittliche Zeitspanne zwischen der Veröffentlichung eines neuen Gesetzes oder einer neuen Vorschrift und der Einleitung eines Compliance- Reviews Anzahl der pro Jahr identifizierten, kritischen Non- Compliance Fälle Häufigkeit der Compliance-Reviews Kosten der IT Non- Compliance, einschließlich Vergleichen und Strafen Anzahl der Non- Compliance Fälle, die an die Geschäftsführung berichtet oder die öffentliches Aufsehen und Reaktionen hervorgerufen haben Schulungstage pro IT- Mitarbeiter pro Jahr in Bezug auf Compliance COBIT 4.0 beinhaltet als Grundlage einer Bewertung der Prozessreife ein Maturitätsmodell, das an das Reifegradmodell von CMMI (Capability Maturity Model Integration) angelehnt ist. Für ME 3 enthält Tabelle 3 die wesentlichen Merkmale des Maturitätsmodells. Maturitätsmodell Nach ITGI 2005, S. 25. Nach ebd., S SIMAT

19 Stufe 0 (nicht existent) 1 (initial) 2 (wiederholbar, aber intuitiv) 3 (definiert) 4 (gemanaged und messbar) Merkmal Bewusstsein für Compliance-Anforderungen ist nur gering ausgeprägt. Prozess zur Einhaltung von Compliance-Anforderungen ist nicht vorhanden. Bewusstsein für Compliance-Anforderungen ist vorhanden. Informelle Prozesse zur Aufrechterhaltung von Compliance im Rahmen von Projekten oder als Folge von Audits werden befolgt. Bewusstsein für externe Compliance-Anforderungen ist vorhanden und Notwendigkeit wird kommuniziert. Bereichsspezifische Compliance-Verfahren sind definiert. Wissen und Verantwortung von Einzelpersonen stehen im Vordergrund. Compliance-Schulungen erfolgen informell. Richtlinien, Verfahren und Prozesse sind entwickelt, dokumentiert und kommuniziert, werden aber nicht durchgängig angewendet. Eine Überwachung der Compliance erfolgt nur eingeschränkt. Manche Compliance-Anforderungen werden nicht erfüllt. Compliance-Schulungen werden für den Bereich der gesetzlichen und regulatorischen Vorgaben angeboten. Verständnis für Compliance und diesbezügliche Gefahren ist umfassend vorhanden. Ein formelles Compliance-Schulungsprogramm existiert. Sämtliche Mitarbeiter sind sich ihrer Compliance- Verpflichtung bewusst. Standardisierte Compliance-Prozesse zur Überwachung von Non-Compliance sind etabliert. Reviews des Umfeldes werden genutzt. Ursachen von Non-Compliance werden identifiziert und nachhaltig beseitigt. Tabelle 3 Maturitätsmodell des Prozesses ME In enger Anlehnung an Klotz 2011, S. 604f. SIMAT

20 Stufe 5 (optimiert) Merkmal Ein effektiver und effizienter Prozess zur Einhaltung externer Anforderungen ist vorhanden. Eine zentrale Compliance-Funktion, die den Compliance-Prozess steuert, ist etabliert. Wissen über externe Anforderung ist umfangreich vorhanden und wird intern kommuniziert. Das Unternehmen ist in externe Plattformen integriert und kann auf externe Anforderungen Einfluss nehmen. Der Compliance-Überwachungsprozess erfolgt systemgestützt. Ein Self-Assessment in Bezug auf externe Anforderungen ist implementiert, sodass Non-Compliance nur selten auftritt. Compliance-Schulungen müssen nur noch für neue Mitarbeiter oder bei wesentlichen Veränderungen durchgeführt werden. 1.5 Fazit zu COBIT 4.0 Grundlegend ist festzuhalten, dass COBIT 4.0 IT-Compliance in einem Umfang adressiert, der für das Publikationsjahr 2005 als durchaus umfangreich bezeichnet werden kann. 35 Das Compliance-Verständnis von COBIT 4.0 ist überwiegend das der IT-gestützten Compliance. Im Vordergrund steht hier die Frage, wie IT zur Compliance von Geschäftsprozessen beitragen kann. Dass sich Compliance-Anforderungen auch direkt an die IT richten, wird in diese Sichtweise integriert, wenn auch nur selten explizit, wie z. B. für den Datenschutz. Zudem fokussiert COBIT 4.0 die Compliance mit externen Regelwerken, also gesetzlichen, regulativen und vertraglichen Vorgaben. Das Begriffsverständnis bleibt jedoch zumindest teilweise unklar, insbesondere hinsichtlich des Umfanges von regulativen Vorgaben und der Bedeutung von Normen. Die begriffliche Unschärfe führt auf der Ebene der Unternehmens- und der IT-Ziele dazu, dass das Unternehmensziel der Compliance mit internen Regelungen nicht mit dem zentralen Compliance-Prozess ME 3 verbunden ist. Externer Fokus Inkonsistenzen im Zielsystem 35 Dass die COBIT-Perspektiven mit IT-Compliance erst noch zu ergänzen seien, wie es Bäumöl für erforderlich zu halten scheint, ist insofern nicht ganz nachvollziehbar, vgl. Baumöl 2012, S. 11. SIMAT

IT-Compliance nach COBIT Gegenüberstellung zwischen COBIT 4.0 und COBIT 5

IT-Compliance nach COBIT Gegenüberstellung zwischen COBIT 4.0 und COBIT 5 SIMAT Arbeitspapiere Herausgeber: Prof. Dr. Michael Klotz SIMAT AP 06-14-025 IT-Compliance nach COBIT Gegenüberstellung zwischen COBIT 4.0 und COBIT 5 Prof. Dr. Michael Klotz Fachhochschule Stralsund SIMAT

Mehr

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach COBIT Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach Gliederung Motivation Komponenten des Frameworks Control Objectives Goals Prozesse Messen in CobiT Maturity Models Outcome

Mehr

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014 Strategisches IT-Management mit dem COBIT Framework Markus Gronerad, Scheer Management 1.8.2014 Was ist strategisches IT-Management? IT-Management Das (operative) IT-Management dient der Planung, Beschaffung,

Mehr

Research Report Kritische Darstellung der theoretischen Grundlagen zum Bildungscontrolling bei verhaltensorientierten Personalentwicklungsmaßnahmen

Research Report Kritische Darstellung der theoretischen Grundlagen zum Bildungscontrolling bei verhaltensorientierten Personalentwicklungsmaßnahmen econstor www.econstor.eu Der Open-Access-Publikationsserver der ZBW Leibniz-Informationszentrum Wirtschaft The Open Access Publication Server of the ZBW Leibniz Information Centre for Economics Pfeil,

Mehr

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7 vii 1 Einleitung 1 Teil I COBIT verstehen 5 2 Entwicklung und Bedeutung von COBIT 7 2.1 ISACA und das IT Governance Institute....................... 7 2.2 Entstehung von COBIT, Val IT und Risk IT....................

Mehr

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7 xv 1 Einleitung 1 2 Einführung und Grundlagen 7 2.1 Die neue Rolle der IT...................................... 7 2.2 Trends und Treiber........................................ 8 2.2.1 Wertbeitrag von

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

Praxiswissen COBIT. Grundlagen und praktische Anwendung in der Unternehmens-IT. von Markus Gaulke. 2., akt. u. überarb. Aufl.

Praxiswissen COBIT. Grundlagen und praktische Anwendung in der Unternehmens-IT. von Markus Gaulke. 2., akt. u. überarb. Aufl. Praxiswissen COBIT Grundlagen und praktische Anwendung in der Unternehmens-IT von Markus Gaulke 2., akt. u. überarb. Aufl. Praxiswissen COBIT Gaulke schnell und portofrei erhältlich bei beck-shop.de DIE

Mehr

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen -

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - Vortrag zum Thema - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - auf der Veranstaltung: - Wertorientierte IT-Steuerung durch gelebte IT-Governance Vorbereitet für: IIR Deutschland GmbH Vorbereitet

Mehr

Praxiswissen COBIT. Grundlagen und praktische Anwendung in der Unternehmens-IT. von Markus Gaulke. 2., akt. u. überarb. Aufl.

Praxiswissen COBIT. Grundlagen und praktische Anwendung in der Unternehmens-IT. von Markus Gaulke. 2., akt. u. überarb. Aufl. Praxiswissen COBIT Grundlagen und praktische Anwendung in der Unternehmens-IT von Markus Gaulke 2., akt. u. überarb. Aufl. Praxiswissen COBIT Gaulke schnell und portofrei erhältlich bei beck-shop.de DIE

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

Projekt-Compliance Neues Handlungsfeld des Projektmanagements. Prof. Dr. Michael Klotz. 14. gfo-regionalmeeting 19.

Projekt-Compliance Neues Handlungsfeld des Projektmanagements. Prof. Dr. Michael Klotz. 14. gfo-regionalmeeting 19. Neues Handlungsfeld des Projektmanagements Prof. Dr. Michael Klotz 4. gfo-regionalmeeting 9. Januar 20 SIMAT STRALSUND INFORMATION MANAGEMENT TEAM Gliederung. Was ist? 2. Um welche geht es? 4. Wozu das

Mehr

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes IT-Prüfung nach dem COBIT- Ansatz Erfahrungen des oö. Landesrechnungshofes Oö. Landesrechnungshof Landesrechnungshof ist zuständig für die Prüfung von IT-Organisationen des Landes und von Beteiligungsunternehmen

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance IT-Governance Standards und ihr optimaler Einsatz bei der Implementierung von IT-Governance Stand Mai 2009 Disclaimer Die Inhalte der folgenden Seiten wurden von Severn mit größter Sorgfalt angefertigt.

Mehr

COBIT 5 FOR INFORMATION SECURITY EIN VERGLEICH

COBIT 5 FOR INFORMATION SECURITY EIN VERGLEICH COBIT 5 FOR INFORMATION SECURITY EIN VERGLEICH Verfasser/in: Tobias Angehrn, Michael Schubiger, Pascal Eigenmann, Gabriela Caduff Projektcoach: Christian Thiel Wirtschaftsinformatik Seminar an der FHS

Mehr

Das neue Framework der ISACA: RiskIT

Das neue Framework der ISACA: RiskIT Das neue Framework der ISACA: RiskIT Werte schaffen und Risiken managen Alfred Heiter 25. Februar 2010 Vorstellung Alfred Heiter alfred.heiter@at.ey.com Seit 10 Jahren im IT-Prüfungs- und IT-Beratungsgeschäft

Mehr

CISA/CISM/CGEIT und die COBIT-Zertifikate

CISA/CISM/CGEIT und die COBIT-Zertifikate INFORMATION RISK MANAGEMENT CISA/CISM/CGEIT und die COBIT-Zertifikate von Markus Gaulke Stand: Oktober 2008 ADVISORY 2004 KPMG Deutsche Treuhand-Gesellschaft Aktiengesellschaft Wirtschaftsprüfungsgesellschaft,

Mehr

Eine ISO-Norm für Wissensmanagement?

Eine ISO-Norm für Wissensmanagement? Eine ISO-Norm für Wissensmanagement? 09.12.2014 von Christian Katz Die aktuelle Revision der ISO 9001 (Qualitätsmanagementsysteme) lädt ein, über die Harmonisierung aller Managementsystem-Normen nachzudenken:

Mehr

Inhaltsverzeichnis. Martin Beims. IT-Service Management mit ITIL. ITIL Edition 2011, ISO 20000:2011 und PRINCE2 in der Praxis ISBN: 978-3-446-43087-7

Inhaltsverzeichnis. Martin Beims. IT-Service Management mit ITIL. ITIL Edition 2011, ISO 20000:2011 und PRINCE2 in der Praxis ISBN: 978-3-446-43087-7 sverzeichnis Martin Beims IT-Service Management mit ITIL ITIL Edition 2011, ISO 20000:2011 und PRINCE2 in der Praxis ISBN: 978-3-446-43087-7 Weitere Informationen oder Bestellungen unter http://www.hanser.de/978-3-446-43087-7

Mehr

GRC-Modell für die IT Modul GRC-Organisation 1

GRC-Modell für die IT Modul GRC-Organisation 1 GRC-Modell für die IT Modul GRC-Organisation 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt () Die

Mehr

GRC Governance Risk & Compliance

GRC Governance Risk & Compliance GRC Governance Risk & Compliance Ansätze zur Unternehmenssteuerung aus Sicht der Wirtschaftsprüfung 27. März 2012 WP StB Heinz-Georg Kämpchen RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen Inhalt.

Mehr

Herzlich willkommen zum Referat «ITIL oder COBIT?»

Herzlich willkommen zum Referat «ITIL oder COBIT?» 1 Herzlich willkommen zum Referat «ITIL oder COBIT?» Markus Schweizer, Associate Partner, CSC Business Consulting & Digicomp Trainer Kursleitung: 2 Inhalt Einleitung Vorstellung und Erwartungen Vergleich

Mehr

2 Entwicklung und Bedeutung von COBIT

2 Entwicklung und Bedeutung von COBIT 7 2 Entwicklung und Bedeutung von Diese Kapitel stellt die Entwicklung des -Rahmenwerks sowie der komplementierenden Rahmenwerke Val IT und Risk IT und die Rolle des internationalen Verbandes ISACA und

Mehr

Messung und Bewertung von Prozessqualität Ein Baustein der Governance

Messung und Bewertung von Prozessqualität Ein Baustein der Governance Messung und Bewertung von Prozessqualität Ein Baustein der Governance Prof. Dr. Ralf Kneuper Beratung für Softwarequalitätsmanagement und Prozessverbesserung Ralf Kneuper Dipl.-Mathematiker, Univ. Bonn

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

2 Einführung und Grundlagen 5

2 Einführung und Grundlagen 5 xi Inhaltsübersicht 1 Einleitung 1 2 Einführung und Grundlagen 5 2.1 Die neue Rolle der IT.............................. 5 2.2 Trends und Treiber................................ 7 2.3 Geschäftsarchitektur

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

Compliance as a Service

Compliance as a Service Compliance as a Service Hintergrund - Vorgehen - Ziel Jürgen Vischer, Principial Management Consultant Nürnberg, 08.10. - 10.10.2013 Folie 1 / Titel Präsentation / Referent 01. Januar 2010 Compliance ein

Mehr

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik.

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik. Forderungen zur Unternehmenspolitik aus diversen Normen und Regelwerken Feststellung und Dokumentation der Forderungen zur Unternehmenspolitik verschiedener Normen und Regelwerke. Schritt 1: Hier auszugsweise

Mehr

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014 : die Versicherung Ihres IT Service Management Christian Köhler, Service Manager, Stuttgart, 03.07.2014 Referent Christian Köhler AMS-EIM Service Manager Geschäftsstelle München Seit 2001 bei CENIT AG

Mehr

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung 5. November 2012 2012 ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 2 Agenda Einführung Konzepte und Prinzipien

Mehr

IKT Forum Fachhochschule Ansbach. Managementsysteme für IT-Serviceorganisationen

IKT Forum Fachhochschule Ansbach. Managementsysteme für IT-Serviceorganisationen IKT Forum Fachhochschule Ansbach Managementsysteme für IT-Serviceorganisationen Entwicklung und Umsetzung mit EFQM, COBIT, ISO 20000, ITIL Bernhard M. Huber Bernhard.Huber@QMvision.de 29. April 2010 Agenda

Mehr

ITIL. fyj Springer. Peter T.Köhler. Das IT-Servicemanagement Framework. Mit 209 Abbildungen

ITIL. fyj Springer. Peter T.Köhler. Das IT-Servicemanagement Framework. Mit 209 Abbildungen Peter T.Köhler 2008 AGI-Information Management Consultants May be used for personal purporses only or by libraries associated to dandelon.com network. ITIL Das IT-Servicemanagement Framework Mit 209 Abbildungen

Mehr

Peter Meier. Die Umsetzung von Risikomanagement nach ISO 31000. - Leseprobe -

Peter Meier. Die Umsetzung von Risikomanagement nach ISO 31000. - Leseprobe - Peter Meier Die Umsetzung von Risikomanagement nach ISO 31000 Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen

Mehr

Referenzmodelle für IT-Governance

Referenzmodelle für IT-Governance Wolfgang Johannsen Matthias Goeken Referenzmodelle für IT-Governance Strategische Effektivität und Effizienz mitcobitjtil&co Mit einem Praxisbericht von Daniel Just und Farsin Tami dpunkt.verlag Inhaltsverzeichnis

Mehr

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism INSTITUT FÜR SYSTEM- MANAGEMENT Compliance Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism ism GmbH 2010 Definition: Compliance Compliance die Bedeutung allgemein:

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Handbuch Interne Kontrollsysteme (IKS)

Handbuch Interne Kontrollsysteme (IKS) Handbuch Interne Kontrollsysteme (IKS) Steuerung und Überwachung von Unternehmen Von Dr. Oliver Bungartz ERICH SCHMIDT VERLAG Vorwort 5 Abkürzungsverzeichnis 11 Abbildungsverzeichnis 15 Tabellenverzeichnis

Mehr

xiü Inhaltsverzeichnis 1 Einleitung 1 2 Einführung und Grundlagen 5

xiü Inhaltsverzeichnis 1 Einleitung 1 2 Einführung und Grundlagen 5 xiü Inhaltsverzeichnis 1 Einleitung 1 2 Einführung und Grundlagen 5 2.1 Die neue Rolle der IT 5 2.2 Trends und Treiber 7 2.2.1 Wertbeitrag von IT 7 2.2.2 IT-Business-Alignment 12 2.2.3 CompÜance 14 2.2.4

Mehr

Reifegradmodelle. Skiseminar Software Engineering. Robin Schultz

Reifegradmodelle. Skiseminar Software Engineering. Robin Schultz Reifegradmodelle Skiseminar Software Engineering Robin Schultz Agenda Grundlagen Die IT Infrastructure Library Entwicklung Aufbau Kritik Kombination mit anderen Modellen Praktischer Einsatz Fazit und Ausblick

Mehr

Strategische Prozesse der IT Governance in Hochschulen. Prof. Dr. Andreas Breiter Campus Innova@on 2014, Hamburg 20.11.2014

Strategische Prozesse der IT Governance in Hochschulen. Prof. Dr. Andreas Breiter Campus Innova@on 2014, Hamburg 20.11.2014 Strategische Prozesse der IT Governance in Hochschulen Prof. Dr. Andreas Breiter Campus Innova@on 2014, Hamburg 20.11.2014 Phasen der IT- Versorgung (CI 2009 revisited)?? MulImediale InformaIonen AllgegenwärIge

Mehr

Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen. Bachelorarbeit

Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen. Bachelorarbeit Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen Bachelorarbeit zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftswissenschaft

Mehr

Mapping und Ergebnisse. Juergen Gross Leiter AK 27.02.2008. Besonderheiten

Mapping und Ergebnisse. Juergen Gross Leiter AK 27.02.2008. Besonderheiten ITIL/Cobit Mapping und Ergebnisse Juergen Gross Leiter AK 27.2.28 Besonderheiten Einziger Organisationsübergreifender (itsmf und ISACA) AK Einzige gemeinsame Publikation von itsmf und ISACA Mitglieder

Mehr

Inhaltsverzeichnis. Inhaltsverzeichnis

Inhaltsverzeichnis. Inhaltsverzeichnis 1 Qualitätssichernde Prozesse 1 1.1 Was war die alte ISO 9000:1994?... 3 1.2 ISO 9000:2000... 4 1.3 ITIL und ISO 9000: 2000... 10 1.4 Six Sigma (6)... 12 1.4.1 Fachbegriffe unter Six Sigma... 17 1.4.2

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

IT- Fähigkeitsmodell nach OYSTER (Exemplarischer Ausschnitt)

IT- Fähigkeitsmodell nach OYSTER (Exemplarischer Ausschnitt) IT- Fähigkeitsmodell nach OYSTER (Exemplarischer Ausschnitt) Umfassendes Know How Ein starkes Team Pragmatische, methodengestützte Vorgehensweise OYSTER Consulting GmbH greift auf einen langjährigen weltweiten

Mehr

Article Konzentrationsprozess im Leasing-Sektor

Article Konzentrationsprozess im Leasing-Sektor econstor www.econstor.eu Der Open-Access-Publikationsserver der ZBW Leibniz-Informationszentrum Wirtschaft The Open Access Publication Server of the ZBW Leibniz Information Centre for Economics Hartmann-Wendels,

Mehr

Spezifische organisatorische Fähigkeiten : Service-Planung Service-Spezifizierung Planung von IT-Prozessen und organisatorischen Abläufen

Spezifische organisatorische Fähigkeiten : Service-Planung Service-Spezifizierung Planung von IT-Prozessen und organisatorischen Abläufen Spezifische organisatorische Fähigkeiten : Service-Planung Service-Spezifizierung Planung von IT-Prozessen und organisatorischen Abläufen Qualitätsmanagement Anwenderunterstützung Kundenmanagement Management

Mehr

Xpert.press ITIL. Das IT-Servicemanagement Framework. von Peter Köhler. überarbeitet

Xpert.press ITIL. Das IT-Servicemanagement Framework. von Peter Köhler. überarbeitet Xpert.press ITIL Das IT-Servicemanagement Framework von Peter Köhler überarbeitet ITIL Köhler schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG Thematische Gliederung: SAP Springer

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

IT-Governance: Modell und ausgewählte Beispiele für die Umsetzung

IT-Governance: Modell und ausgewählte Beispiele für die Umsetzung IT-Governance: Modell und ausgewählte Beispiele für die Umsetzung Dr. Michael Rohloff Siemens AG Corporate Information and Operations CIO Strategy, Planning and Controlling Südallee 1, 85356 München-Flughafen

Mehr

Legal Risk als Folge fehlender Compliance

Legal Risk als Folge fehlender Compliance Legal Risk als Folge fehlender Compliance Konzernrechtstag Luther, Düsseldorf, 29.04.2015 Ludger Hanenberg BaFin, Bonn. Gliederung 1. Hintergründe 2. Compliance-Funktion als Risikomangement- Instrument

Mehr

Die richtigen Dinge tun

Die richtigen Dinge tun Die richtigen Dinge tun Einführung von Projekt Portfolio Management im DLR Rüdiger Süß, DLR Frankfurt, 2015 Sep. 25 Agenda DLR Theorie & Standards Definition Standards Praxis im DLR Umsetzung Erfahrungen

Mehr

Risikomanagement Vorgaben durch internationale und europäische Normen

Risikomanagement Vorgaben durch internationale und europäische Normen Risikomanagement Vorgaben durch internationale und europäische Normen FH-Prof. Martin Langer, FH Campus Wien Wien, 30. November 2010 Fragestellungen ISO 31000 Was ist Risiko? Beispiele aus der Praxis Hintergründe

Mehr

Timo Boldt Berlin, 7. Mai 2014. Alles neu für die Compliance? Erfahrungen mit der Umsetzung der neuen MaRisk-Compliance-Funktion

Timo Boldt Berlin, 7. Mai 2014. Alles neu für die Compliance? Erfahrungen mit der Umsetzung der neuen MaRisk-Compliance-Funktion Timo Boldt Berlin, 7. Mai 2014 Alles neu für die Compliance? Erfahrungen mit der Umsetzung der neuen MaRisk-Compliance-Funktion v Agenda 1. Einleitung 2. Umsetzung der MaRisk-Compliance 3. Ausblick und

Mehr

Modul 1 Modul 2 Modul 3

Modul 1 Modul 2 Modul 3 Schaffen Sie Transparenz, Struktur und Zukunftssicherheit für Ihre IT durch modulare IT-Audits Die Unternehmens- und IT-Leitung benötigt ein verständliches Tool für die aktive Steuerung und Entwicklung

Mehr

Value of IT. Future Network Technologieoutlook und IT-Trends. Ansätze zur Effektivitäts- und Effizienzsteigerung von IT-Organisationen

Value of IT. Future Network Technologieoutlook und IT-Trends. Ansätze zur Effektivitäts- und Effizienzsteigerung von IT-Organisationen 2. Zürcher Konferenz und Netzwerktreffen Future Network Technologieoutlook und IT-Trends Value of IT Ansätze zur Effektivitäts- und Effizienzsteigerung von IT-Organisationen Markus Schneider BOC Information

Mehr

Unternehmenspolitik zu Sicherheit, Security, Gesundheits- und Umweltschutz im Roche-Konzern

Unternehmenspolitik zu Sicherheit, Security, Gesundheits- und Umweltschutz im Roche-Konzern Deutsche Übersetzung. Im Zweifelsfall gilt das englische Original Unternehmenspolitik zu Sicherheit, Security, Gesundheits- und Umweltschutz im Roche-Konzern Ausgabe 2012 Verpflichtung gegenüber der Gesellschaft

Mehr

1. Normen für Unternehmen

1. Normen für Unternehmen 1. Normen für Unternehmen Normen sind gut für ein Missverständnis und schlecht für ein Verständnis. Um diesem Wortspiel einen konkreten Inhalt zu geben, seien zwei Thesen angeführt: Das Missverständnis

Mehr

Prozessmanagement mit ViFlow in der RWE Systems Sparte IT

Prozessmanagement mit ViFlow in der RWE Systems Sparte IT Prozessmanagement mit ViFlow in der RWE Systems Sparte IT RWE Systems AG Erfolgreiche Unternehmen arbeiten nach einem grundlegenden Prinzip: "Wir machen nur das, wovon wir wirklich etwas verstehen. Dort,

Mehr

Research Report Zur Kommunalverschuldung in den Flächenländern. KBI kompakt, Karl-Bräuer-Institut des Bundes der Steuerzahler e.v., No.

Research Report Zur Kommunalverschuldung in den Flächenländern. KBI kompakt, Karl-Bräuer-Institut des Bundes der Steuerzahler e.v., No. econstor www.econstor.eu Der Open-Access-Publikationsserver der ZBW Leibniz-Informationszentrum Wirtschaft The Open Access Publication Server of the ZBW Leibniz Information Centre for Economics Herrmann,

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Unsere IT ist doch sicher! Wozu ISO 27001? RBP Seminar, LRZ München, 27.10.2011 Marc Heinzmann, plan42 GmbH ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein Beratungsunternehmen ohne

Mehr

S-ITIL: IT-Infrastructure Library

S-ITIL: IT-Infrastructure Library S-ITIL: IT-Infrastructure Library ITIL bietet eine exzellente Basis zur Ausrichtung der IT an den Geschäftsanforderungen und Kunden sowie für einen effizienten und qualitativ hochwertigen IT-Betrieb. ITIL

Mehr

FINANCIAL SERVICES COBIT 4.1. Ein Überblick in 30 min Christoph Schier, 17.10. 2007 GI e.v. Regionalgruppe Düsseldorf ADVISORY

FINANCIAL SERVICES COBIT 4.1. Ein Überblick in 30 min Christoph Schier, 17.10. 2007 GI e.v. Regionalgruppe Düsseldorf ADVISORY FINANCIAL SERVICES COBIT 4.1 Ein Überblick in 30 min Christoph Schier, 17.10. 2007 GI e.v. Regionalgruppe Düsseldorf ADVISORY Agenda Ausgangslage für IT Governance Die vier Grundprinzipien von COBIT 4.0/4.1

Mehr

PERFORMANCE MANAGEMENT

PERFORMANCE MANAGEMENT Seminar: Controlling HS Bremerhaven Roman Allenstein und Benno Buhlmann PERFORMANCE MANAGEMENT GLIEDERUNG Was ist das Performance Management Bestandteile und Theorien Aktivitäten im Performance Management

Mehr

Wo sind meine Daten? Ein Gesundheitscheck Ihrer Datenhaltung. KRM/Wildhaber Consulting, Zürich 2014

Wo sind meine Daten? Ein Gesundheitscheck Ihrer Datenhaltung. KRM/Wildhaber Consulting, Zürich 2014 Wo sind meine Daten? Ein Gesundheitscheck Ihrer Datenhaltung 1 KRM/Wildhaber Consulting, Zürich 2014 Kreditkartendaten gestohlen u Die Geheimdienste zapfen systematisch Rechner an u Cloud Lösungen sind

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

Das intelligente Unternehmen

Das intelligente Unternehmen Das intelligente Unternehmen Das Office of the CFO als Leitstand SAP Infotage, Düsseldorf, Okt. 2007 Dr. Wolfgang Martin Analyst, ibond Partner, Ventana Research Advisor und Research Advisor am Institut

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

Unternehmenspräsentation. 2007 Raymon Deblitz

Unternehmenspräsentation. 2007 Raymon Deblitz Unternehmenspräsentation 2007 Raymon Deblitz Der zukünftige Erfolg vieler Unternehmen hängt im Wesentlichen von der Innovationsfähigkeit sowie von der Differenzierung ab Vorwort CEO Perspektive Anforderungen

Mehr

3.1 Einleitung und Übersicht

3.1 Einleitung und Übersicht 40 3 Das COBIT-Referenzmodell 3.1 Einleitung und Übersicht 3.1.1 Entstehung und Geschichte Grundidee von COBIT Schwerpunktverschiebung: von Kontrollzielen zur IT-Governance COBIT als Integrationsmodell

Mehr

Regenschirm für die IT

Regenschirm für die IT Technology Regenschirm für die IT CIO s sind mit COBIT 5 für IT-Transformation gewappnet Thomas Schaer, Michael Krüss Die neueste Ausgabe des COBIT- Rahmenwerkes unterstützt die IT-Organisation in der

Mehr

15. ISACA TrendTalk. Sourcing Governance Audit. C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG

15. ISACA TrendTalk. Sourcing Governance Audit. C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG 15. ISACA TrendTalk Sourcing Governance Audit C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG Page 1 Agenda IT-Compliance Anforderung für Sourcing Tradeoff between economic benefit and data security

Mehr

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006 Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF Mai 2009 > Vorstellung des BMF / IT-Sektion Gründe für die Einführung des Standards Projektumfang

Mehr

ISO/IEC 20000. Eine Einführung. Wie alles begann in den 80 & 90

ISO/IEC 20000. Eine Einführung. Wie alles begann in den 80 & 90 ISO/IEC 20000 Eine Einführung Wie alles begann in den 80 & 90 1986 1988 1989 1990 CCTA initiiert ein Programm zur Entwicklung einer allgemein gültigen Vorgehensweise zur Verbesserung der Effizienz und

Mehr

ISACA Empfehlungen für sicheres Cloud Computing. ISACA Germany Chapter FG Cloud Computing Dr. Karl-Friedrich Thier, 3. IT Grundschutztag, 12.9.

ISACA Empfehlungen für sicheres Cloud Computing. ISACA Germany Chapter FG Cloud Computing Dr. Karl-Friedrich Thier, 3. IT Grundschutztag, 12.9. ISACA Empfehlungen für sicheres Cloud Computing ISACA Germany Chapter FG Cloud Computing Dr. Karl-Friedrich Thier, 3. IT Grundschutztag, 12.9.2013 Agenda Über ISACA ISACA Veröffentlichungen und Empfehlungen

Mehr

your IT in line with your Business Geschäftsprozessmanagement (GPM)

your IT in line with your Business Geschäftsprozessmanagement (GPM) your IT in line with your Business Geschäftsprozessmanagement (GPM) Transparenz schaffen und Unternehmensziele effizient erreichen Transparente Prozesse für mehr Entscheidungssicherheit Konsequente Ausrichtung

Mehr

IT-Governance: Ein Schwerpunkt für Unternehmensberatung und IT?

IT-Governance: Ein Schwerpunkt für Unternehmensberatung und IT? IT-Governance: Ein Schwerpunkt für Unternehmensberatung und IT? o. Univ. Prof. Dr. Dimitris Karagiannis Institut für Knowledge and Business Engineering 29. November 2006 Hofburg, Wien Kosten, Nutzen, Effizienz

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

Cloud Governance in deutschen Unternehmen

Cloud Governance in deutschen Unternehmen www.pwc.de/cloud Cloud Governance in deutschen Unternehmen Eine Zusammenfassung der gemeinsamen Studie von ISACA und PwC. Cloud Governance in deutschen Unternehmen eine Studie von ISACA und PwC Die wichtigsten

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

Information-Governance

Information-Governance Information-Governance - Herausforderungen in verteilten Umgebungen - Wolfgang Johannsen IT GovernancePractice Network c/o Frankfurt School of Finance & Management Sonnemannstraße 9-11 60314 Frankfurt

Mehr

COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO 19600 P.JONAS@AUSTRIAN-STANDARDS.AT. www.austrian-standards.at

COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO 19600 P.JONAS@AUSTRIAN-STANDARDS.AT. www.austrian-standards.at COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO 19600 P.JONAS@AUSTRIAN-STANDARDS.AT COMPLIANCE STANDARD: WOZU? Leitfaden/Richtlinie beim Aufbau eines Compliance Management Systems Schaffung eines State-of-the-Art

Mehr

Mythos Internes Kontrollsystem (IKS)

Mythos Internes Kontrollsystem (IKS) Herbert Volkmann Mythos Internes Kontrollsystem (IKS) Börsennotierte Aktiengesellschaften auf dem Prüfstand Diplomica Verlag Herbert Volkmann Mythos Internes Kontrollsystem (IKS): Börsennotierte Aktiengesellschaften

Mehr

Change- und Configuration Management

Change- und Configuration Management 12. itsmf Jahreskongress 2012 3./4. Dezember 2012 FUTURE OF ITSM Change- und Configuration Management Praktische Umsetzung COBIT 4.1 und Toolimplementierung 1 Vorgehensweise Prozessimplementierung Die

Mehr

Working Paper Regelwerke der IT-Compliance - Klassifikation und Übersicht, Teil 2: Normen

Working Paper Regelwerke der IT-Compliance - Klassifikation und Übersicht, Teil 2: Normen econstor www.econstor.eu Der Open-Access-Publikationsserver der ZBW Leibniz-Informationszentrum Wirtschaft The Open Access Publication Server of the ZBW Leibniz Information Centre for Economics Klotz,

Mehr

Prozessorientiertes IT- Sicherheitsmanagement auf der Basis von ITIL

Prozessorientiertes IT- Sicherheitsmanagement auf der Basis von ITIL Prozessorientiertes IT- Sicherheitsmanagement auf der Basis von ITIL Frank Reiländer, Berater IT-Sicherheit/Datenschutz IT Security & Risk Management, INFODAS GmbH f.reilaender@infodas.de www.save-infodas.de

Mehr

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Helmut Gottschalk. AeroEx 2012 1

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Helmut Gottschalk. AeroEx 2012 1 1 Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik Helmut Gottschalk AeroEx 2012 1 Agenda Definitionen Assessments in der Aviatik Audits in der Aviatik Interne Audits im Risk Management

Mehr

IIBA Austria Chapter Meeting

IIBA Austria Chapter Meeting covalgo consulting GmbH IIBA Austria Chapter Meeting ITIL und Business Analyse 20. März 2012 Dr. Gerd Nanz 1040 Wien, Operngasse 17-21 Agenda Ein Praxisbeispiel Was ist Business Analyse? Was ist ein Service

Mehr

Frameworks für das IT Management. Erste Auflage

Frameworks für das IT Management. Erste Auflage Frameworks für das IT Management Erste Auflage 13 CobiT - Control Objectives for Information and related Technology Control Objectives for Information and related Technologies (CobiT 4.0) ist ein Prozessmodell

Mehr

Ulrich Heun, CARMAO GmbH. CARMAO GmbH 2013 1

Ulrich Heun, CARMAO GmbH. CARMAO GmbH 2013 1 Ulrich Heun, CARMAO GmbH CARMAO GmbH 2013 1 Roter Faden Mit wem haben Sie es heute zu tun? Was ist Informationssicherheit? ISMS nach ISO 27001 ISMS und ITIL CARMAO GmbH 2013 2 CARMAO Das Unternehmen Gegründet

Mehr